Riktlinjer för informationssäkerhet

Relevanta dokument
Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Hantering av behörigheter och roller

Riktlinjer för informationssäkerhet

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Riktlinjer för informationssäkerhet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Anskaffning och drift av IT-system

Riktlinjer för informationssäkerhet

Informationssäkerhetsanalyser Checklista egenkontroll

Riktlinjer för informationssäkerhet

Ledningssystem för Informationssäkerhet

Riktlinjer för informationssäkerhet

Ledningssystem för Informationssäkerhet

IT-Säkerhetsinstruktion: Förvaltning

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

FÖRHINDRA DATORINTRÅNG!

Säker hantering av mobila enheter och portabla lagringsmedia

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Bilaga 1 - Handledning i informationssäkerhet

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationsklassning och systemsäkerhetsanalys en guide

Riktlinje för informationssäkerhet

SÅ HÄR GÖR VI I NACKA

Lösenordsregelverk för Karolinska Institutet

Bilaga 3c Informationssäkerhet

Gallrings-/bevarandetider för loggar i landstingets IT-system

SNITS-Lunch. Säkerhet & webb

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Juridik och informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Rutiner för fysisk säkerhet

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Icke funktionella krav

Fortsatt arbete utifrån dataskyddsförordningen, GDPR. Denna presentation utgår i första hand från ett informationssäkerhetsmässigt perspektiv

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Riktlinjer. Informationssäkerhet och systemförvaltning

Informationssäkerhetspolicy för Ystads kommun F 17:01

Riktlinjer för säkerhetsarbetet

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Handbok Informationsklassificering

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Säker informationshantering

Bilaga 3c Informationssäkerhet

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

Att analysera värderingar bakom inforamtionssäkerhet. Fil. Dr. Ella Kolkowska

Handledning i informationssäkerhet Version 2.0

Guide för säker behörighetshantering

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Bilaga till rektorsbeslut RÖ28, (5)

VGR-RIKTLINJE FÖR FYSISK SÄKERHET

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Informationssäkerhetspolicy

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Hantering av elektroniskt lagrad information när anställning, studier eller uppdrag vid Uppsala universitet upphör

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Riktlinjer inom ITområdet

Rikspolisstyrelsens författningssamling

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS

Informationssäkerhetsmånaden 2018

Riktlinjer för IT-säkerhet i Halmstads kommun

Granskning av IT-säkerhet

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

EBITS Energibranschens IT-säkerhetsforum

Regler och styrning av åtkomst till data

Informationssäkerhetspolicy IT (0:0:0)

Bilaga 3c Informationssäkerhet

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Myndigheten för samhällsskydd och beredskaps författningssamling

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Riktlinjer för egendomsskydd

RISKHANTERING FÖR SCADA

Säkerhet. Säkerhet. Johan Leitet twitter.com/leitet facebook.com/leitet. Webbteknik II, 1DV449

Riktlinjer för Informationssäkerhet

Informationssäkerhetspolicy inom Stockholms läns landsting

I n fo r m a ti o n ssä k e r h e t

VÄGLEDNING INFORMATIONSKLASSNING

Informationssäkerhetspolicy för Umeå universitet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Cyber security Intrångsgranskning. Danderyds kommun

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Allmänna villkor för infrastrukturen Mina meddelanden

Giltig från Version Nr 1.2

Granskning av IT-säkerhet

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Uppföljningsrapport IT-revision 2013

Riksarkivets författningssamling

Transkript:

Dnr UFV 2014/1307 Riktlinjer för informationssäkerhet Fastställda av Säkerhetschef 2014-10-28

Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering av riktlinjerna 4 3 Definitioner 4 4 Omfattning 4 4.1 Övergripande 4 4.2 Identifiering av säkerhetskrav före utveckling 5 4.3 Angående källkod 5 4.4 Bearbetning, indata och utdata 5 4.5 Säker kommunikation/säker lagring av information 5 4.6 Autentisering/åtkomst till databaser, filer och källkod 6 4.7 Loggning 6 4.8 Test och testdata 7 4.9 Överlämnande till drift/fortsatt förvaltning av systemet 7 2

1 Inledning Dagens internetbaserade IT-miljöer, ständigt utsatta för nya hot relaterade till säkerhet, ställer särskilda krav i allt arbete som bedrivs med utveckling och underhåll av ITbaserade system. Att använda utvecklingsmetoder och rutiner som inkluderar moment där särskilt fokus ligger på säkerhetsmässiga aspekter utgör en grundläggande förutsättning för säker drift av de system som utvecklas. I de riktlinjer för informationssäkerhet som fastställts av universitetsdirektören, Dnr UFV 2010/424, uttrycks följande med särskild koppling till projekt- och förvaltningsarbete som inbegriper systemutveckling: En risk- och hotbildsanalys enligt anvisningarna för risk- och hotbildsanalyser ska genomföras i alla utvecklings- och anskaffningsprojekt. Ansvarig för att så sker är projektägare/motsvarande. Planering och uppföljning av skyddsåtgärder ska göras som en del av det löpande förvaltningsarbetet med befintliga informationssystem. Ansvarig för att så sker är Systemägare/motsvarig. Detta dokument avser att, tillsammans med ovanstående punkter, beskriva universitetets riktlinjer för säker systemutveckling. 2 Ansvar 2.1 Efterlevnad Ansvaret för efterlevnad av dessa riktlinjer fördelar sig enligt följande: Projektägare/motsvarande har det övergripande ansvaret i samband med systemutvecklingsprojekt. Systemägare, objektägare/motsvarande har det övergripande ansvaret i det löpande förvaltningsarbetet. Projektledare, förvaltningsledare/motsvarande ansvarar för att riktlinjerna beaktas i det dagliga arbetet med systemutveckling samt att eventuella konsulter har kännedom om dessa. Systemutvecklare ansvarar för att riktlinjer med direkt påverkan på utvecklingsarbetet följs. 3

2.2 Uppdatering av riktlinjerna Säkerhetschefen ansvarar för att riktlinjerna kontinuerligt uppdateras och att underliggande stöddokument fastställs. 3 Definitioner Informationsklassificering utgör ett moment där information som hanteras, exempelvis av IT-system, bedöms utifrån aspekterna konfidentialitet (sekretess), riktighet och tillgänglighet. Informationens behov av säkerhetsmässiga åtgärder bestäms i en behovsskala bestående av nivåerna basnivå, hög nivå samt särskilda krav. SQL injection är ett sätt att utnyttja säkerhetsproblem i hanteringen av indata i system som arbetar mot en databas. Injektionen sker genom att en användare skickar in parametrar till en databasfråga, utan att parametrarna transformeras korrekt med avseende på speciella tecken. Med anpassade parametrar kan en användare kringgå inloggningssystem och manipulera data. Cross Site Scripting, XSS, används som metod för att stjäla information eller förstöra en webbsidas utseende. Metoden är tillsammans med SQL injection omnämnd som en av de mest kritiska säkerhetsriskerna med koppling till webbapplikationer (se information från den globala organisationen Open Web Application Security Project (OWASP), https://www.owasp.org) 2-faktor autentisering är en metod för inloggning där den inloggade identifierar sig med något som personen ifråga känner till, exempelvis ett lösenord, samt därtill med något som personen har i sin ägo, exempelvis en s.k. Yubikey som placeras i en av datorns USB-portar. 4 Omfattning 4.1 Övergripande Universitetets IT-system ska vara utformade i enlighet med kraven i offentlighetslagstiftningen och andra tillämpliga lagar och regler. Om osäkerhet råder ska universitetets juridiska avdelning tillfrågas. 4

4.2 Identifiering av säkerhetskrav före utveckling Säkerhetskrav ska identifieras och dokumenteras i ett utvecklingsprojekts inledande fas. Systemägare, projektledning och projektdeltagare i olika roller ska tillsammans överenskomma vilka säkerhetskrav som ska gälla. Universitetets säkerhetsenhet bidrar med råd och stöd. Information som hanteras i systemet ska klassificeras med avseende på skyddsbehov. Uppgifter som markering för skyddad identitet och lösenord utgör exempel på uppgifter med högt ställda krav på sekretess. En riskanalys ska genomföras i alla utvecklings-, vidareutvecklings- och anskaffningsprojekt. Anvisningar och blanketter för genomförande av informationsklassificering och riskoch hotbildsanalyser finns i Medarbetarportalen under STÖD OCH SERVICE, Säkerhet. 4.3 Angående källkod Åtkomst till källprogramkoden ska kontrolleras av ett behörighetssystem. All källkod ska versionshanteras. Alla förändringar som görs i koden ska loggas. 4.4 Bearbetning, indata och utdata Metoder för att säkerställa korrekt bearbetning ska användas. Dessa metoder bör innefatta moment som kodgranskning, rutiner för validering av indata samt rimlighetskontroller av utdata. Det finns anledning att vara särskilt uppmärksam på brister i programkoden som gör denna känslig för fenomen som SQL injection och Cross Site Scripting (XSS), då dessa utgör exempel på särskilt vanligt förekommande sårbarheter. 4.5 Säker kommunikation/säker lagring av information Dataöverföringar av känsliga data ska alltid ske via krypterad transport, httpsanslutning eller motsvarande. 5

Krypterad lagring av känslig information ska övervägas för information som vid informationsklassificering klassats till hög nivå. Vid överföring av känslig information till annat system ska motsvarande skyddsåtgärder som vidtas inom det egna systemet vara vidtagna i kommunikationen samt i det mottagande systemet. 4.6 Autentisering/åtkomst till databaser, filer och källkod Universitetets standardiserade användaridentiteter och autentiseringssystem ska användas så långt det är möjligt. Moment som autentisering och auktorisering ska vara väldefinierade i systemets tjänsteskikt. Systemanvändare ska ha en unik användaridentitet, dvs. inga gruppidentiteter får finnas. Lösenord ska följa universitetets riktlinjer för lösenordshantering. Om särskilt känslig information hanteras av systemet ska s.k. tvåfaktorautentisering övervägas. Åtkomst till databaser, filer och källkod till programmen ska styras på ett säkert sätt. Dokumenterade rutiner för behörighetstilldelning ska finnas och följas. Det ska gå att begränsa användares åtkomst till system och databaser utifrån parametrar som roll, organisationstillhörighet och liknande. 4.7 Loggning Systemet ska inkludera rutiner som skapar erforderliga loggar för uppföljning av säkerheten i systemet. Operatörers inloggningar och andra viktiga säkerhetsrelaterade händelser i systemet ska alltid loggas. Säkerhetsloggar ska skyddas mot obehörig åtkomst och oavsiktlig förändring samt sparas på ett säkert sätt. Säkerhetsloggar ska skickas krypterat till syslog-server enligt instruktioner som återfinns i Medarbetarportalen under STÖD OCH SERVICE, Säkerhet, Riktlinjer och stöddokument. Tidsrymd för sparande av transaktionsloggar ska avtalas med driftsleverantören. 6

4.8 Test och testdata Utvecklings- och testarbete ska utföras i en egen, från driften väl avskild, miljö. I ett fall då data i en testmiljö är baserad på verklig data, ska testmiljön omgärdas av säkerhetsåtgärder motsvarande de som används i produktionsmiljön. Rutiner ska finnas för att säkerställa att testdata kontrolleras och skyddas. 4.9 Överlämnande till drift/fortsatt förvaltning av systemet Vid driftsättning ska systemet överlämnas till systemförvaltning enligt en dokumenterad rutin för detta. En fastställd organisation för systemförvaltning ska finnas och vara känd av både överlämnande och mottagande parter. Dokumentation som beskriver systemet och dess kopplingar till andra system ska finnas framtagen innan systemet överlämnas för drift och fortsatt förvaltning. Rutiner för godkännande av systemförändringar ska finnas och följas. Alla föreslagna systemändringar ska granskas för att säkerställa att de inte äventyrar säkerheten vare sig i systemet eller i driftmiljön. 7

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss